近期,针对MacOS的恶意软件逐渐流行,除了 针对macOS的且令人烦恼的广告软件之外,加密恶意软件也在增加。是什么导致macOS平台上这些类型的恶意软件上升? 针对安全性苹果采取了哪些措施? Mac安全公司Objective-See的创始人将对此展开讨论。

Patrick Wardle是Mac安全公司Objective-See的创始人。 多年来,自我描述的“来自夏威夷的冲浪者”一直是最多产和最受尊敬的Mac恶意软件猎手之一,揭露了影响macOS平台的漏洞以及研究针对Mac机器的恶意软件样本。 他还因其用于保护Mac用户的开源安全工具而闻名。 本文将和他讨论Apple世界的恶意软件的演变。

Q: macOS恶意软件有哪些新趋势?

Wardle: 尽管Mac恶意软件还不是太多,但我们看到一些有趣的趋势会影响Apple自称的伊甸园。 除了针对macOS的更具侵入性(且令人烦恼)的广告软件之外,加密恶意软件肯定会增加。

Q:是什么导致macOS平台上这些类型的恶意软件上升?

Wardle: 黑客和网络犯罪分子主要是靠经济利益驱动的。 由于其流行,Windows长期以来一直是此类恶意攻击者及其恶意创作的主要目标。 然而,随着Mac变得越来越普遍,Mac恶意软件也越来越普遍。

在许多情况下,我们现在看到黑客移植他们现有的Windows恶意软件以瞄准Mac平台。 或者,重新编译它们的代码以利用跨平台框架。 除此之外,许多广告软件都是基于浏览器的,这本质上是跨平台的。

随着财务动机的趋势,macOS密码管理器(或恶意软件)也明显增加,这些恶意软件持续存在于使用一台计算机挖掘加密货币的(单一)目标。

Q: 我们听到的更多关于针对Apple设备的国家攻击者使用Dark Caracal恶意软件和GrayKey iPhone解锁工具。 同样的问题,为什么最近对macOS感兴趣?

沃德尔: 我认为,老实说,我们只是没有很好的洞察力。

这个问题 – 这是对苹果公司的普遍批评 – 就像iPhone被加密保护一样,这对普通用户来说是个好消息。 但与此同时,当你有这样一个黑盒子时,它是你无法轻易分析的东西 – 例如,运行调试器或进程监视器来发现任何潜在的感染。

这对于能够利用iPhone的高级攻击者来说(有点讽刺)是有利的。 想一想:如果有人攻击你的iPhone,你怎么知道? 因此,在任何特定时间,我们都无法很好地了解“最先进的”状态对于民族国家的攻击者的影响。

为了回答你关于最近兴趣的原因的问题,我个人认为APT自成立以来一直以macOS为目标 – 或者至少是因为他们的目标一直在使用Apple设备。 也就是说,APT与设备无关。

APT将追踪他们的目标设备,无论是苹果还是Windows,还是介于两者之间的任何设备。

Q: Apple如何应对这些趋势?

Wardle: 我 经常 选择苹果 , 与此同时,我必须给予他们很多赞誉,因为他们聘请了很多非常聪明的人。 我认为他们的安全团队充满了杰出的研究人员。 他们还在每个版本的操作系统中主动构建了许多新的安全功能。

我最近谈到了在macOS上滥用合成事件,比如鼠标和键盘点击。 黑客可以设计恶意软件以使用合成事件来泛滥Apple的许多内置恶意软件缓解措施。 Apple的最新操作系统macOS Mojave基本上通过阻止合成事件来关闭这个攻击媒介。

因此,Apple显然非常关注外部安全研究人员在会议上讨论的内容,以及利用[平台]的恶意软件,然后采取措施来缓解这种情况。将此与现在内置于macOS中的内部安全机制相结合,操作系统的安全性正朝着正确的方向发展。

Q: 那么MAC在哪些方面会崩溃? 我们如何得到这些明显的错误,例如I Am Root和High Sierra的“show hint”错误,以及最近的QuickLook?

Wardle: 如上所述,苹果公司的安全性正朝着正确的方向发展,但他们肯定在某些领域挣扎。 他们的新安全功能非常强大,但许多都有明显的弱点。

例如,Apple推出了一种名为“用户认可的内核扩展加载”的东西。这个想法是为了防止恶意软件以编程方式安装已签名的内核扩展[以防止利用漏洞在内核的上下文中执行无符号代码执行]。

在这种情况下,Apple的致命弱点是他们没有保护安全提示(即弹出窗口要求用户点击“允许”。)。 我找到了一种生成合成事件的简单方法,该事件单击“允许”按钮 – 这完全破坏了此安全功能。

因此,虽然他们在理论上的新安全功能非常强大,但实际上它有一个巨大的弱点,使其基本上无用。 不幸的是,我们看到Apple一次又一次地这么做……。

Q: Apple如何错过这些错误?

Wardle: 我认为在内部可能存在一些我无法真正说话的政治问题。 但从纯粹的安全角度来看,苹果公司没有采取更多努力来鼓励外部帮助 – 例如可能会开启Mac bug-bounty计划,这简直令人兴奋。

操作系统是非常复杂的软件。 攻击者或攻击性网络安全研究人员可以轻松完成工作。 我们只需找到一个小瑕疵。 另一方面,Apple在100%的时间内基本上都需要100%的安全性。

对于Apple来说,可用性和截止日期通常胜过安全 , 因此,产品或补丁可能会被运送,但未经过审核或测试,应该允许相当明显的错误。 更积极地吸引外部研究团体来帮助分析这些代码或产品,恕我直言,显然会使Apple受益。

Q: 当涉及到这些类型的漏洞或一般的安全性时,苹果公司是否以自己的方式回应 ?

Wardle: 哈,这是一个敏感的问题! 这是一个可能对此有所了解的故事:

最近我谈到了一个名为Fruitfly的恶意Mac恶意软件。 这种恶意软件已经成功地保持了十多年,主要针对Mac。 它能够远程完全控制目标计算机,包括网络摄像头,屏幕,键盘和鼠标。

联邦调查局卷入其中并最终抓获了一名据称因恶意软件而制造恶意软件的人 – 例如通过他们的Mac监视儿童。

在我的谈话之后,我听到Apple不太高兴。 我意识到我说了太多,也许关于受害者或其他一些危害正在进行的联邦调查局调查的事情。

事实证明,不,根本不是这样的。 相反,Apple只是因为它的消息和媒体对这种恶意软件的报道而关注这个话题。 显然,他们看到它玷污了他们(感知的)原始形象。 由于苹果认为威胁完全被遏制,他们认为没有理由将这个关于恶意软件的故事称为“新闻”。

当然,我完全不同意。 通过他们的Mac电脑监视儿童的事实 – 十多年 – 是父母应该注意的事情。 如果我们不讨论这些威胁,为了教育公众,用户可能仍然没有意识到。

抱歉Apple,但在这里,无知不是幸福!

话虽如此,我真的很感激他们最近的安全方法,例如雇用大量顶级安全人才和主动缓解问题。 但是,与任何事情一样,仍有很大的改进空间。

当然,让我们永远不要忘记,首先,Apple是一家公司,根据定义,它的最终目标是利润; 这就是为什么 – 他们在营销上花的钱多于安全性。

Q: 这是断开连接。 苹果公司在安全研究方面投入了大量资金,但我们仍然看到像QuickLook和I Am Root这样的漏洞,这些漏洞多年来一直没有打补丁。

Wardle: 我认为 这只取决于 资源和可用性与安全性之间的平衡。

不幸的是,与Apple有时声称的相反,我认为对于他们来说更重要的是用户体验是愉快的,而设备是完全安全的。 当两者发生冲突时,可用性往往胜过安全。

他们知道Mac用户关心安全性。 但他们也知道99%的用户只想让他们的Mac工作。 我认为他们已经完成了数学计算,当他们偶然遇到像QuickLook这样的潜在安全问题时,他们可能还有其他可用性或安全性优先级。

风险计算可能是,“好的,直到我们得到一些非常糟糕的新闻,我们先解决其他问题或错误。”

公平地说,任何操作系统都会有bug。 所以,我们不能给苹果太多的斥责! 现在,如果他们搞砸补丁 – 这是相当不可原谅的!

Q:有 什么能改变这种态度?

Wardle: 我可以在Mac bug-bounty程序中看到很多价值(不仅仅是iOS的一个)。 它只会鼓励更多人在平台上捅,发现这些相当“浅薄”的漏洞。

所有操作系统都非常复杂。 无论您是Apple还是Microsoft,我们都不能指望任何人找到所有东西。

微软在90年代末和21世纪初就意识到了这一点,他们基本上已经出局并雇用黑客,黑客组织和安全研究人员,他们一直在攻击Windows。 他们还推出了一个bug-bounty程序。

微软相对较早就意识到任何操作系统都会出现漏洞。 因此,公司可以采取的任何措施来鼓励人们发现错误并报告错误,这将最终使最终用户受益。